3. Следующим абзацем ст. 3 определяется ключевое для данного Закона понятие «электронная цифровая подпись» как реквизит электронного документа, предназначенный для защиты этого электронного документа от подделки посредством криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи, что позволяет идентифицировать владельца сертификата ключа подписи, а также установить аутентичность (т.е. отсутствие искажения записи информации) электронного документа. Данное определение акцентирует внимание на функциональной роли подписи как средства защиты документа и способа идентификации владельца сертификата ключа подписи, а также гарантии отсутствия искажения информации в электронном документе.
Электронная цифровая подпись для целей настоящего Закона жестко ориентирована на одну и единственную технологию, разработанную в соответствии с требованиями ГОСТа Р 34.10-94 <*>, использующего методы криптографии — области прикладной математики, которая занимается преобразованием цифровой информации в зашифрованную форму и обратным преобразованием — дешифрованием формы цифровой информации. При генерации электронной цифровой подписи используется математический алгоритм вычисления хэш-функции электронного документа или сообщения. Хеш-функция электронного документа представляет собой цифровую свертку в виде некоторого значения хеш-функции или хеш-результата определенной стандартом длины, который является обычно много меньшим, чем сам электронный документ, уникальный по своей сущности.
<*> Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма ГОСТ Р 34.10-94.
Структура электронной цифровой подписи электронного документа формируется с помощью специального программного обеспечения и применения закрытого ключа электронной цифровой подписи из вычисленного с электронного документа значения хэш-функции в виде цифровой записи (сигнатуры) определенной стандартом длины. Результирующая цифровая подпись, таким образом, уникальна, как и сам электронный документ и закрытый ключ, с помощью которого она создана. Хеш-функция позволяет программному обеспечению создавать цифровую подпись в небольшом и прогнозируемом объеме данных, обеспечивает устойчивую доказательную корреляцию к первоначальному содержанию электронного документа и, таким образом, эффективно обеспечивает гарантию того, что любое изменение или модификация электронного документа после его подписания будут обнаружены. Как правило, электронная цифровая подпись приложена (дописывается) к электронному документу или файлу электронного документа и передается вместе с этим электронным документом. Возможен вариант, когда электронная цифровая подпись может формироваться, сохраняться и передаваться совместно с электронным документом как отдельный структурированный набор данных, как правило, в виде файла, но при условии, что она тем или иным способом привязана к подписанному файлу электронного документа.
В состав дополнительной информации, включенной в сигнатуру электронной цифровой подписи, должны входить: дата и время ее установления; информация, содержащая сведения о сертифицирующем центре, выпустившем в обращение сертификат на данную электронную цифровую подпись; наименование средств ЭЦП, с которыми используется данная подпись; сведения о владельце закрытого ключа. Возможно также добавить в состав дополнительной информации и уникальный номер процессора, системного блока компьютера и программного приложения ЭЦП, а также некоторую другую информацию в зависимости от целей применения электронной цифровой подписи.
Дополнительная информация, представляющая зафиксированные в подписываемом документе данные о дате и времени установления электронной цифровой подписи, является важным и очень существенным условием для использования таких документов в качестве доказательства как при возникновении споров, так и в процедурах правоприменительной и судебной практики. Это важное обстоятельство не нашло соответствующего нормативного отражения в настоящем Законе.
Без такой дополнительной информации невозможно будет найти сертификат ключа подписи, открытый ключ и провести проверку (аутентификацию) и идентификацию электронной цифровой подписи. По сопряженным меткам даты и времени ее создания (формирования) при проверке можно будет надежно определить, была ли цифровая подпись создана в течение периода действия подписи, заявленном в сертификате электронной цифровой подписи, что является обязательным условием подтверждения действительности электронной цифровой подписи.
Для быстрого поиска, нахождения и получения сертификата ключа подписи для целей проведения процедуры проверки подписи, подлинности и целостности электронного документа электронная цифровая подпись должна содержать сведения о сертифицирующем центре, выпустившем в свободное обращение сертификат открытого ключа подписи, и сведения, где хранится данный сертификат ключа подписи, и порядок его получения или ссылку, указывающую на его местонахождение в реестре или базе данных (на сервере) удостоверяющего центра, позволяющую получить открытый ключ, сведения о владельце закрытого ключа, которому принадлежит сертификат ключа электронной цифровой подписи. Обычно такую дополнительную информацию, однозначно идентифицирующую владельца сертификата ключа подписи, добавляют (прошивают) в файл закрытого ключа при его генерации. Эта информация при подписывании электронного документа автоматически извлекается программным обеспечением ЭЦП из закрытого ключа и вместе с метками даты и времени дописывается к документу до вычисления электронной цифровой подписи, чем обеспечивается и ее целостность и достоверность.
По такой электронной цифровой подписи адресат или лицо, получившее подписанный электронный документ или сообщение, с помощью открытого ключа (который составляет согласованную пару закрытому ключу) может точно установить, была ли электронная цифровая подпись изготовлена или создана с использованием закрытого ключа подписавшегося, вносились ли в электронный документ или сообщение изменения после его подписания, т.е. его подлинность, а также может идентифицировать владельца этой электронной цифровой подписи и установить дату и время подписывания электронного документа или сообщения. Следует отметить, что в комментируемом Законе отсутствуют положения и об этой дополнительной информации, которую необходимо включать в состав электронной цифровой подписи.
Проверка электронной цифровой подписи заключается в проверке соответствия идентификационных данных данным сертификата ключа подписи и срока действия сертификата ключа подписи на момент подписания электронного документа. Для проведения процедуры проверки необходимо иметь достоверный сертификат ключа подписи. Сертификат ключа подписи запрашивается у удостоверяющего центра, зарегистрировавшего данный сертификат, или у владельца сертификата, и, таким образом, с помощью программного обеспечения устанавливается, была ли создана проверяемая электронная цифровая подпись электронного документа в момент, когда формировалась с использованием закрытого ключа.
Проверка подписи выполняется вычислением нового хеш-результата полученного электронного документа посредством использования того же самого алгоритма вычисления хеш-функции, использованного для создания электронной цифровой подписи. Затем, используя полученный открытый ключ и новый хеш-результат, проверяется: была ли электронная цифровая подпись создана, используя соответствующий закрытый ключ; соответствует ли вычисленный при проверке хеш-результат первоначальному хеш-результату, который был преобразован в электронную цифровую подпись в процессе подписывания электронного документа.
Программное обеспечение в процессе проверки подтвердит цифровую подпись как принадлежащую подписавшему лицу — владельцу закрытого ключа, если закрытый ключ подписавшего лица использовался при подписывании электронного документа и информация электронного документа не была изменена, что имеет место, если хеш-результат, вычисленный при проверке, идентичен хеш-результату, извлеченному из цифровой подписи в течение процесса проверки. Следует отметить, что просто перенести электронную цифровую подпись с одного документа на другой (по аналогии с ксерокопированием или сканированием обычной подписи на бумажном документе или использованием факсимиле) невозможно. Таким образом, можно сказать, что электронная цифровая подпись на электронном документе является реквизитом только данного конкретного подписанного электронного документа. Электронная цифровая подпись позволяет провести проверку подлинности электронного документа и идентифицировать подписавшее лицо, и если проверка подтверждает подлинность и целостность подписанного цифровой подписью электронного документа, то электронная цифровая подпись лица, указанного в документе, не полежит сомнению.
Предложенное настоящим Законом правовое регулирование электронной цифровой подписи, основанное строго на одном и единственном методе и технологии, является недостаточно гибким и не вполне перспективным, т.к. не допускает использования других методов и технологий, расширительного охвата других известных способов организации электронной подписи и тех, которые будут изобретены и внедрены в будущем. В общепринятой мировой тенденции развития законодательства и в уже действующей законодательной практике ООН, Европейского сообщества и ряда государств субъект использует электронную подпись, основанную на методе и технологии, которые он сам выбирает с учетом степени защиты электронного документа. Предлагаемый подход создает возможности использования электронной цифровой подписи в определенных сферах. Например, в государственном управлении, где требования могут быть жестко установлены законом.
4. Далее в ст. 3 (абз. 4) Закон определяет понятие «владелец сертификата ключа подписи» как физическое лицо, на имя которого удостоверяющим центром оформлен и выдан сертификат ключа электронной цифровой подписи и которое, соответственно, владеет уникальным закрытым ключом электронной цифровой подписи, согласованным с указанным в сертификате открытым ключом. Из этого следует, что закрытый ключ электронной цифровой подписи может находиться во владении, пользовании и распоряжении только исключительно у физического лица, на имя которого оформлен и выдан сертификат ключа подписи. Юридические лица как субъекты прав по настоящему Закону не могут быть полноправными владельцами сертификата ключа подписи даже в тех случаях, когда электронная цифровая подпись оформляется на должностное лицо. В последнем случае можно отметить, что должностное лицо имеет фактически два «сертификата» подписи — один как физическое лицо, на которого оформлен сертификат ключа подписи, и второй как уполномоченное лицо юридического лица в соответствии с его учредительными документами или доверенностью.
Владелец сертификата ключа подписи может либо сам подписывать электронной цифровой подписью электронный документ, либо доверить закрытый ключ и право подписывания электронных документов третьему лицу, что не запрещено ни комментируемым Законом, ни действующим законодательством. Кроме того, при утрате контроля над закрытым ключом возможны случаи его несанкционированного и незаконного использования третьей стороной. Таким образом, владелец сертификата ключа подписи и подписавшее электронный документ лицо могут быть разными лицами.
5. Под термином «средства электронной цифровой подписи» (абз. 5 ст. 3) Закон понимает аппаратно — технические и (или) программные средства, которые могут реализовать хотя бы одну из следующих функций: создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи; подтверждение с использованием открытого ключа подлинности электронной цифровой подписи, содержащейся в электронном документе; создание закрытых и открытых ключей электронных цифровых подписей.
6. Термин «сертификат средств электронной цифровой подписи» (абз. 6 ст. 3) Закона понимается как документ на бумажном носителе, выданный уполномоченным органом государственной власти в соответствии с правилами системы сертификации для подтверждения соответствия применяемых средств электронной цифровой подписи установленным требованиям ГОСТа Р 34.10-94. В РФ действует зарегистрированная 15.11.1993 г. Госстандартом России за N РОСС RU 0001.03001 «Система сертификации средств криптографической защиты информации», которая определяет порядок сертификации средств защиты информации, использующих шифрование и криптографию. Эта система сертификации аппаратно — технических и программных средств направлена на защиту интересов государства и государственного информационного ресурса, а также интересов и прав собственников и владельцев информации — предпринимателей и граждан России. Федеральными органами по сертификации в соответствии с действующим законодательством РФ определены: ФАПСИ, Гостехкомиссия РФ. Координация работ по организации сертификации этой продукции возложена на Межведомственную комиссию по защите государственной тайны. При этом ФАПСИ в соответствии с Законом РФ от 19.02.1993 N 4524-1 в ред. от 07.11.2000 г. «О федеральных органах правительственной связи и информации» является головным лицензирующим и сертифицирующим органом в отношении программных и аппаратно — технических шифровальных средств, а Гостехкомиссия РФ в соответствии с Указом Президента РФ от 19.02.1999 N 212 в ред. от 06.03.2002 «Вопросы государственной технической комиссии при Президенте Российской Федерации» является лицензирующим и сертифицирующим органом в отношении иных программных и аппаратно — технических средств защиты информации и контроля.
7. Под термином «закрытый ключ электронной цифровой подписи» (абз. 7 ст. 3) в Законе понимается уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи.
8. Под термином «открытый ключ электронной цифровой подписи» (абз. 8 ст. 3) законодатель понимает уникальную последовательность символов, увязанную соответствующим образом с закрытым ключом электронной цифровой подписи, доступную любому пользователю информационной системы и предназначенную для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе.
С помощью закрытого ключа и средств электронной цифровой подписи можно создавать электронную цифровую подпись и, соответственно, подписывать электронные документы. Закрытый ключ электронной цифровой подписи является тем уникальным элементом, без знания которого невозможно подделать электронную цифровую подпись его владельца. Поэтому необходимо обеспечить защиту от несанкционированного доступа третьих лиц к закрытому ключу. Закрытый ключ электронной цифровой подписи рекомендуется хранить на специальном персональном ключевом носителе. Закрытый ключ должен всегда содержаться в тайне и быть доступен только владельцу. И только в этом случае никто кроме владельца не сможет сформировать электронную цифровую подпись под электронным документом. Пользователь в любой момент может проверить с помощью доступного открытого ключа, что документ подписал именно владелец закрытого ключа и что документ не искажен. Конечно, возможны те или иные ситуации, когда владелец закрытого ключа может потерять контроль над ним, что называется компрометацией ключа, и таким образом возможно подложное использование электронной цифровой подписи.
Закрытый ключ, который известен и подконтролен только подписывающему лицу, используется исключительно для создания электронной цифровой подписи подконтрольным лицом. Открытый ключ распространяется более свободно. Сертификат, содержащий открытый ключ, свободно размещается у доверенного третьего лица (удостоверяющего центра) и к нему обеспечивается свободный доступ, что позволяет достаточно просто организовать его получение и, соответственно, процедуру его сверки, процедуру проверки электронной цифровой подписи документа, подлинности и тождественности самого электронного документа.
Закрытый и открытый ключ электронной цифровой подписи представляют собой связанную пару уникальных числовых последовательностей, которые сгенерированы средством электронной цифровой подписи, как правило, в виде соответствующих файлов, причем по открытому ключу гарантированно невозможно вычислить закрытый ключ.
Для предварительной идентификации электронной цифровой подписи и удостоверяющего центра, зарегистрировавшего сертификат ключа подписи, закрытый и открытый ключ должны содержать некоторую дополнительную информацию, содержащую сведения о сертифицирующем центре, выпустившем в обращение сертификат на данную электронную цифровую подпись, и сведения, где хранится данный сертификат ключа подписи, и порядок его получения или ссылку, указывающую на его местонахождение в реестре или базе данных (на сервере) удостоверяющего центра, позволяющую получить открытый ключ; сведения о владельце закрытого ключа, которому принадлежит сертификат ключа электронной цифровой подписи. Это необходимо для проведения процедуры быстрого поиска и получения сертификата открытого ключа, поскольку без такой дополнительной информации невозможно будет получить достоверный открытый ключ подписи и провести проверку (аутентификацию) и идентификацию электронной цифровой подписи и сроки ее действия. Обычно такую дополнительную информацию добавляют (прошивают) в файл закрытого ключа при его генерации. Эта информация при подписывании электронного документа автоматически извлекается программным обеспечением ЭЦП из закрытого ключа и вместе с метками даты и времени дописывается к документу до вычисления электронной цифровой подписи, чем обеспечивается и ее целостность и достоверность.
Используя такую ключевую пару асимметричных криптографических и математически связанных между собой ключей: один закрытый для создания цифровой подписи (или преобразования данных в зашифрованную форму) и другой, открытый ключ для подтверждения или проверки подлинности электронного документа, сличения и идентификации электронной цифровой подписи (или дешифрования данных к первоначальной форме), можно обеспечить требуемую степень защиты электронного документа. Необходимый уровень надежности подписи и степень защиты документа возможно повышать за счет увеличения ключевой базы. При этом устанавливаемая степень надежности защиты электронного документа на несколько порядков превышает степень надежности защиты самых защищенных обычных, традиционных документов.
Аппаратные средства и программное обеспечение, использующее два таких ключа, все вместе называют асимметричной шифросистемой (в отличие от симметричной шифросистемы, где шифрование и дешифрование цифровой информации используется с единственным ключом). Самое слабое звено в этой системе — это человек, поскольку закрытый ключ находится под его контролем, а человеку свойственно по тем или иным причинам «терять ключи». Поэтому компрометация закрытого ключа до истечения срока действия сертификата ключа и последующая генерация и регистрация новой пары ключей, как предполагается, на практике будет достаточно частым явлением.
9. Абз. 9 ст. 3 Закона определяет понятие «сертификат ключа подписи» как документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Для обеспечения достоверности открытого ключа сертификат ключа подписи, содержащий запись с данными открытого ключа, должен передаваться пользователю либо лично владельцем сертификата, либо сертифицирующим центром по запросу пользователя в виде документа на бумажном носителе, оформленном в установленном порядке, или в виде электронного документа, подписанного электронной подписью должностного лица удостоверяющего центра. При этом удостоверяющий центр должен взять на себя обязанность извещать всех, кому был отправлен сертификат ключа подписи, о всех изменениях, вносимых в сертификат.
10. Абз. 10 ст. 3 Закона определяет понятие «подтверждение подлинности электронной цифровой подписи в электронном документе» как положительный результат проверки (соответствующим сертифицированным средством электронной цифровой подписи с использованием данных сертификата ключа подписи) принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе.
Проверка подлинности электронного документа заключается в проверке отношения электронной цифровой подписи к первоначальному электронному документу с помощью открытого ключа, сертификат которого необходимо запросить у удостоверяющего центра, который зарегистрировал данный сертификат, или у владельца сертификата. Таким образом, с помощью программного обеспечения устанавливается, была ли создана электронная цифровая подпись для того же электронного документа, когда формировалась с использованием закрытого ключа, который составляет согласованную пару с упомянутым открытым ключом. Проверка подлинности выполняется вычислением нового хеш-результата полученного электронного документа посредством использования того же самого алгоритма вычисления хеш-функции, использованного для создания электронной цифровой подписи. Затем, используя полученный открытый ключ и новый хеш-результат, проверяется: была ли электронная цифровая подпись создана, используя соответствующий закрытый ключ; соответствует ли вычисленный при проверке хеш-результат первоначальному хеш-результату, который был преобразован в электронную цифровую подпись в процессе подписывания электронного документа. По завершении процедуры проверки программное обеспечение в процессе проверки удостоверит тождественность цифровой подписи и документа, если информация электронного документа не была изменена (что имеет место, когда хеш-результат, вычисленный при проверке, идентичен хеш-результату, извлеченному из цифровой подписи во время исполнения процедуры проверки). Таким образом, электронная цифровая подпись позволяет провести проверку подлинности и целостности электронного документа.
11. Абз. 11 ст. 3 Закона определяет понятие «пользователь сертификата ключа подписи» как физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи. По смыслу данного Закона таким пользователем сертификата может быть любой участник информационной системы общего пользования (или любой пользователь информационной системы общего пользования), а также корпоративной системы.
12. Под информационной системой понимается организационно упорядоченная совокупность документов (массивов документов) и информационных технологий, в том числе с использованием средств вычислительной техники и связи, реализующих информационные процессы. Термин «информационная система общего пользования» (абз. 12 ст. 3) Закон трактует как информационную систему, которая открыта для доступа и пользования любым ее участникам или всем физическим и юридическим лицам, в т.ч. и органам государственной власти, и в услугах которой этим лицам не может быть отказано.
13. Под термином «корпоративная информационная система» (абз. 13 ст. 3) Закона понимается информационная система, участниками которой является ограниченный круг лиц, определяемый ее владельцем или соглашением участников этой корпоративной информационной системы.
Глава II. УСЛОВИЯ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ
ЦИФРОВОЙ ПОДПИСИ
Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи
1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
подтверждена подлинность электронной цифровой подписи в электронном документе;
электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
2. Участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.
Комментарий к статье 4
1. Ст. 4 определяет условия, при которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи. Поскольку данная норма корреспондирует с нормой ст. 6, то в каждом конкретном случае проверки условий применения ЭЦП, и особенно в случаях возникновения споров, необходимо обеспечить в момент проведения этой проверки сверку этой ЭЦП с условиями сертификата, хранящегося в реестре удостоверяющего центра. Причем проведение такой сверки должно быть возможно и доступно в любое время в течение полных суток. В любом случае данная норма вводит определенные ограничения для владельца сертификата ключа подписи.
2. Электронная цифровая подпись признается равнозначной подписи в документе на бумажном носителе при одновременном выполнении ряда условий.
Первое условие касается момента подписания документа. Это означает, что момент подписания документа должен также документироваться. В электронном документе необходимо фиксировать время его подписания, и эта информация должна защищаться устанавливаемой электронной цифровой подписью. Достоверная информация о времени подписания электронного документа необходима для проведения проверки действия сертификата ключа подписи на этот момент, что является важнейшим условием признания юридической силы электронного документа.
Второе условие касается подлинности электронной цифровой подписи и соответственно самого документа. Это означает, что проведение процедуры проверки электронной цифровой подписи в электронном документе посредством запуска соответствующих программных средств подписи дает положительный результат сверки. Или иначе, исполнение программой проверки электронной цифровой подписи дает положительный результат тождественности содержательной информации электронного документа и его формы и формата представления той содержательной информации и той его форме и формату электронного документа, которая была на момент подписывания документа электронной цифровой подписью, и положительный результат соответствия электронной цифровой подписи в проверяемом документе действующему сертификату ключа подписи.
Третье условие касается использования подписи в соответствии со сведениями, указанными в сертификате ключа. Это означает, что документ с электронной цифровой подписью будет иметь юридическую силу только в том случае, если он используется в тех отношениях, которые указаны в сертификате ключа подписи. И соответственно наоборот, если подпись в электронном документе используется вне отношений, указанных в сертификате ключа подписи, то такой документ юридической силы не имеет.
Соблюдение вышеперечисленных условий важно особенно в связи с тем, что электронный документ, подписанный электронной цифровой подписью, допустим как письменное доказательство в любых процессуальных действиях правоприменительной практики.
3. Данная статья в п. 2 устанавливает, что участник информационной системы может владеть одновременно любым количеством сертификатов ключей подписи, но при этом устанавливается, что электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, которые указаны в сертификате ключа подписи. Трудно представить, что должностное лицо будет иметь ряд электронных цифровых подписей для применения их в определенных правоотношениях и как это лицо на практике будет ими пользоваться. Такое ограничение будет играть только на руку недобросовестным должностным лицам (умышленное или неумышленное использование не той подписи, что требуется) и иным пользователям, а также криминальным структурам.
Следует обратить внимание на то, что указанное в п. 2 юридическое значение электронного документа и имеющейся в нем ЭЦП обусловлено соблюдением указаний об области отношений, для которых создается ЭЦП и которые должны быть зафиксированы в сертификате ключа подписи. В этой связи важно обеспечить наиболее точную запись в сертификате, о котором более подробно сказано в ст. 6 настоящего Закона. Повторная оговорка законодателя об отношениях, в которых может использоваться электронная цифровая подпись, как и третье условие п. 1 данной статьи, юридически ограничивает сферу применения электронных документов в правоотношениях. Тем не менее оно вряд ли будет служить препятствием для применения ЭЦП в отношениях, выходящих за рамки отношений, указанных в сертификате ключа подписи.
Следует также отметить, что тезис о признании равнозначности электронной цифровой подписи с собственноручной подписью физического лица в документе на бумажном носителе, продекларированный как цель настоящего Закона (ст. 1, п. 1), не выдерживает критики, поскольку, с одной стороны, данная статья не содержит условия о биометрической привязке ключа подписи к владельцу сертификата ключа подписи и соответствующей биометрической процедуры подписывания, а, с другой стороны, электронная цифровая подпись может передаваться доверенным третьим лицам или несанкционированно использоваться третьей стороной. По своей физической природе и сути электронная цифровая подпись в электронном документе, если быть точным, скорее является аналогом оттиска печати юридического (или, что реже, факсимиле физического) лица на бумажном документе, которая в отличие от печати заверяет электронный документ в целом, а не только подпись должностного лица.
Статья 5. Использование средств электронной цифровой подписи
1. Создание ключей электронных цифровых подписей осуществляется для использования в:
информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
корпоративной информационной системе в порядке, установленном в этой системе.
2. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.
3. Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.
4. Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.
Комментарий к статье 5
1. Пункт 1 этой статьи содержит как бы простое утверждение о том, что ключи для ЭЦП предназначены для использования в информационных системах общего пользования и для использования в корпоративных системах. Именно на это должны ориентироваться создатели таких ключей. Некоторые затруднения могут возникнуть в связи с отсутствием нормативной дефиниции относительно понятия «системы общего пользования», во-первых, и отсутствием точного ответа, кем и в каком порядке устанавливаются требования для корпоративной системы. Некоторую ясность вносит по этому вопросу ст. 17 Закона. Однако она в большей мере раскрывает права корпоративной системы по установлению условий, отвечающих ее интересам. Остается открытым вопрос о том, в какой мере эти условия воспринимаются удостоверяющим центром, ответственным за изготовление и выдачу ключей.
Еще одно положение, содержащееся в п. 1 этой статьи, имеет важное значение. Оно касается того, что создание ключевой пары закрытого и открытого ключа ЭЦП для использования в информационной системе общего пользования может осуществляться либо лично и непосредственно ее участником, или по его обращению удостоверяющим центром. В корпоративной информационной системе создание ключей электронных цифровых подписей осуществляется в порядке, установленном в этой системе.
2. В п. 2 данной статьи устанавливается обязательность использования сертифицированных средств электронной цифровой подписи. В п. 2 данной статьи предусмотрена норма, в соответствии с которой «при создании ключей электронной цифровой подписи для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи».
Из его текста следует, что Законом в принципе допускается использование пользователем в информационной системе общего пользования несертифицированных средств электронной цифровой подписи. Но в таком случае возмещение убытков, причиненных в связи с созданием ключей электронной цифровой подписи несертифицированными средствами электронной цифровой подписи, возлагается на создателей и распространителей этих средств в соответствии с действующим законодательством РФ. Однако обязанности по доказыванию недобросовестности изготовителя или распространителя в таких случаях будут лежать на приобретателе ключа ЭЦП, который обязан удостовериться в сертификации прав и средств изготовителя и распространителя. Настоящий Закон не устанавливает какой-либо ответственности по возмещению убытков на создателей и распространителей сертифицированных средств электронной цифровой подписи в связи с использованием таких сертифицированных средств по созданию и применению ключей электронной цифровой подписи. Если государственная сертификация средств подписи вообще имеет какой-то смысл, то он может заключаться именно в том, чтобы дать гарантии и снять риски убытков пользователям.
Следует отметить, что в настоящее время с введением в действие 01.06.2002 г. Кодекса Российской Федерации об административных правонарушениях N 195-ФЗ от 30 декабря 2001 г. предусматривается административная ответственность за незаконную деятельность в области защиты информации. Так, в соответствии со ст. 13.13, ч. 1 за «занятие видами деятельности в области защиты информации без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), — влечет наложение административного штрафа на граждан в размере от пяти до десяти минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на должностных лиц — от двадцати до тридцати минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой; на юридических лиц — от ста до двухсот минимальных размеров оплаты труда с конфискацией средств защиты информации или без таковой».
3. В п. 3 данной статьи законодатель формулирует более жесткие требования к сертификации средств ЭЦП и созданных на их основе ключей ЭЦП в информационных системах органов государственной власти и местного самоуправления, а точнее — их должностных лиц, реализующих применение ЭЦП. В данном пункте законодателем установлен жесткий запрет на использование в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей, что вполне оправдано.
Следует также отметить, что в указанном выше Кодексе Российской Федерации об административных правонарушениях, в его ст. 13.12, ч. 2, предусматривается административная ответственность за использование несертифицированных информационных систем, баз и банков данных, а также несертифицированных средств защиты информации, если они подлежат обязательной сертификации (за исключением средств защиты информации, составляющей государственную тайну).
В данном пункте законодатель использовал конструкцию «корпоративные» информационные системы федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления, что некорректно и недопустимо в отношении органов государственной власти и местного самоуправления, правовой статус которых не предусматривает корпоративных признаков ограничения их действия.
При проведении сертификации средств электронной цифровой подписи федеральный орган государственной власти, осуществляющий сертификацию, должен в обязательном порядке гарантировать отсутствие в сертифицируемых средствах любой возможности при генерации ключевой пары открытых и закрытых ключей тайного или явного копирования и запоминания данных закрытого ключа и иных закладок, кроме как изготовления штатного и единственного некопируемого экземпляра закрытого ключа.
Федеральным органом государственной власти, осуществляющим сертификацию средств электронной цифровой подписи, является Государственная техническая комиссия при Президенте РФ и Федеральное агентство правительственной связи и информации при Президенте РФ как головной лицензирующий и сертифицирующий федеральный орган государственной власти в отношении программных и аппаратно — технических шифровальных средств и иных программных и аппаратно — технических средств защиты информации и контроля.
Статья 6. Сертификат ключа подписи
1. Сертификат ключа подписи должен содержать следующие сведения:
уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре удостоверяющего центра;
фамилия, имя и отчество владельца сертификата ключа подписи или псевдоним владельца. В случае использования псевдонима удостоверяющим центром вносится запись об этом в сертификат ключа подписи;
открытый ключ электронной цифровой подписи;
наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи;
наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи;
сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение.
2. В случае необходимости в сертификате ключа подписи на основании подтверждающих документов указываются должность (с указанием наименования и места нахождения организации, в которой установлена эта должность) и квалификация владельца сертификата ключа подписи, а по его заявлению в письменной форме — иные сведения, подтверждаемые соответствующими документами.
3. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи.
4. Для проверки принадлежности электронной цифровой подписи соответствующему владельцу сертификат ключа подписи выдается пользователям с указанием даты и времени его выдачи, сведений о действии сертификата ключа подписи (действует, действие приостановлено, сроки приостановления его действия, аннулирован, дата и время аннулирования сертификата ключа подписи) и сведений о реестре сертификатов ключей подписей. В случае выдачи сертификата ключа подписи в форме документа на бумажном носителе этот сертификат оформляется на бланке удостоверяющего центра и заверяется собственноручной подписью уполномоченного лица и печатью удостоверяющего центра. В случае выдачи сертификата ключа подписи и указанных дополнительных данных в форме электронного документа этот сертификат должен быть подписан электронной цифровой подписью уполномоченного лица удостоверяющего центра.
Комментарий к статье 6
1. Данная статья касается сертификата ключа подписи. В данной статье раскрывается состав сведений, включаемых в сертификат ключа подписи, которым пользуется получатель документов, подписанных ЭЦП, и являющийся пользователем сертификата ключа подписи. При этом регулируются отношения владельца сертификата ключа подписи, удостоверяющего центра, а также уполномоченного лица этого центра. Предметами отношений являются: реестр сертификатов ключей и сертификаты ключей, выдаваемых удостоверяющим центром, а также содержащиеся в них сведения.
2. В п. 1 данной статьи определен перечень сведений, включаемых в содержание сертификата. К ним относятся: регистрационный номер сертификата и ключа подписи; срок его действия (дата начала и окончания действия); фамилия, имя и отчество владельца сертификата; открытый ключ цифровой подписи; наименование аппаратных или программных средств ЭЦП, с которыми используется конкретный ключ; наименование и место нахождения удостоверяющего центра, выдающего сертификат; сведения об отношениях, при осуществлении которых электронный документ с его ЭЦП имеет юридическое значение.
3. П. 2 данной статьи говорит о случаях, при которых в сертификат по заявлению владельца вносятся дополнительные сведения (должность по месту работы, место нахождения организации и др.). Причем эти сведения должны иметь документальное подтверждение. Нерешенным остается вопрос, кто устанавливает «необходимость» таких случаев и включения таких дополнительных сведений в сертификат и состав подтверждающих такие сведения документов: удостоверяющий центр или сам владелец сертификата?
4. Обязанность удостоверяющего центра вести реестр сертификатов ключей подписи установлена п. 3 данной статьи. В соответствии с данным пунктом удостоверяющий центр должен вести реестр сертификатов выдаваемых или регистрируемых им ключей подписей не позднее даты начала срока действия сертификата ключа подписи. Удостоверяющий центр ни при каких обстоятельствах не должен вести реестр закрытых ключей владельцев сертификатов ключей подписей.
5. П. 4 данной статьи обязывает выдавать пользователям сертификаты ключа подписи с указанием даты и времени его выдачи, сведений о действии сертификата (действует, действие приостановлено, сроки приостановления его действия, аннулирован, дата и время аннулирования сертификата ключа подписи) и сведений о реестре сертификатов ключей подписей. Причем законодатель в данном пункте точно не указывает субъекта, к которому относится эта обязанность. Из контекста статьи 6 следует, что это требование относится к удостоверяющему центру как держателю реестра выданных сертификатов.
Первая часть п. 4 предусматривает наличие в сертификате данных не только срока его действия, что уже предписано в п. 1 этой же статьи, но и таких данных, как «действие приостановлено», на какой срок, если «аннулирован», то с какой даты. Эта норма должна рассматриваться правоприменителями и исполнителями данного Закона в совокупности с его ст. ст. 13 и 14, в которых установлены условия приостановления и аннулирования сертификата. На практике обязательно будут возникать вопросы относительно процедуры проставления таких данных. Например, какая ответственность лежит на удостоверяющем центре или пользователе сертификата, если они не отследили изменения в применяемом сертификате ключа. Этот вопрос должен быть урегулирован подзаконными актами.
Кроме того, в данном пункте рассматриваемой статьи установлено, что сертификат может оформляться и выдаваться пользователям либо в форме документа на бумажном носителе, либо в форме электронного документа. При этом порядок обращения пользователей к удостоверяющему центру и выдачи им сертификатов не определен. В случае выдачи сертификата ключа подписи в форме документа на бумажном носителе этот сертификат оформляется на бланке удостоверяющего центра и заверяется собственноручной подписью уполномоченного лица и печатью удостоверяющего центра. В случае выдачи сертификата ключа подписи в форме электронного документа этот сертификат должен быть подписан электронной цифровой подписью уполномоченного лица удостоверяющего центра.
